Responsabile della protezione dei dati (RPD)

Il Responsabile della protezione dei dati è un professionista (interno o esterno all’azienda) con competenze giuridiche, informatiche, di risk management e di analisi dei processi.

La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento dei dati personali (e dunque la loro protezione) all’interno di un’azienda pubblica o privata, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

Che requisiti deve avere un DPO?

I requisiti richiesti nell’assunzione di questo ruolo di fondamentale importanza sono di natura tecnica e giuridica: rientra infatti tra i compiti del DPO quello di informare e consigliare il titolare in merito agli obblighi derivanti dal Regolamento, ad esempio in materia di 𝘱𝘳𝘪𝘷𝘢𝘤𝘺 𝘣𝘺 𝘥𝘦𝘴𝘪𝘨𝘯 e di misure di sicurezza.

Quali sono gli incarichi del DPO?

• Informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento, in merito agli obblighi derivanti dal presente regolamento, nonché da altre disposizioni dell’Unione o degli Stati membri, relative alla protezione dei dati
• Sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo
• Fornire un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35
• Cooperare con l’autorità di controllo
• Fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione".

Chi nomina il DPO?

Il DPO deve essere nominato dal titolare. È importante ricordare che la nomina del DPO non è un adempimento formale, il soggetto prescelto deve avere la qualità professionali imposte dall’art. 37 del GDPR che fa particolare riferimento alla conoscenza specialistica che il DPO deve avere.

Meglio il DPO interno, o esterno?

Anche in questo caso non esiste risposta univoca in grado di mettere tutti d’accordo, la risposta “dipende dal contesto”. Esistono soprattutto 2 possibili incompatibilità e svantaggi di nominare un DPO esterno all’azienda:

• Potrebbe subire intimidazioni
• Rischia il conflitto di interessi.

Vantaggi di un DPO interno

Nominare un Data Protection Officer interno è potenzialmente più vantaggioso in quanto:

• conosce in maniera più approfondita le dinamiche e i problemi aziendali
• è sempre presente fisicamente e aggiornato in merito all’azienda.

Vantaggi di un DPO esterno

Nominando un DPO esterno si possono ottenere questi benefici:

• Professionista che conosce in maniera approfondita la normativa
• Ha esperienza sul campo e si forma in maniera autonoma
• Il rapporto di lavoro può variare nel tempo e quindi potenzialmente è più economico
• Possiede risorse e mezzi specifici.

Sebbene tutte le organizzazioni italiane che trattano dati personali di persone residenti nell’UE debbanno rispettare il GDPR, non tutte le organizzazioni sono tenute a nominare un DPO. Le singole organizzazioni valutano se hanno bisogno di nominarne uno e, in tal caso, a chi affidare tale responsabilità.

Se non sei sicuro del processo di nomina di un DPO, o se hai bisogno di maggiori informazioni sul ruolo del DPO, contattaci senza alcun impegno!